科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全深度解析SQL注入 十大方式保护数据安全(下)

深度解析SQL注入 十大方式保护数据安全(下)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

更新和补丁:黑客的SQL注入式攻击所利用的应用软件和数据库漏洞定期都能被发现,因此经常升级系统和打补丁时非常关键的。

来源:安全在线 2010年3月15日

关键字: 数据安全 SQL注入

  • 评论
  • 分享微博
  • 分享邮件

  3.更新和补丁:黑客的SQL注入式攻击所利用的应用软件和数据库漏洞定期都能被发现,因此经常升级系统和打补丁时非常关键的。

  4.防火墙:考虑使用网络应用软件防火墙(WAF)-无论是基于软件或者应用工具的均可,以此来帮助用户过滤恶意数据。好的防火墙拥有完整的缺省规则设置,当需要时增加新的功能都比较容易。网络应用软件防火墙在系统打补丁之前,对防御某些特殊的新风险和提供安全防护上特别有用。

  5.减少用户的攻击殃及面:删除你不需要的数据库功能来防御黑客乘机利用。举例来说,MS SQL中的xp_cmdshell扩展存储程序会溢出Windows命令行和可执行字符串,这确实对黑客而言非常拥有。xp_cmdshell导致的Windows溢出作为SQL Server服务帐户拥有同样的安全权限。

  6.使用适当的权限设置:不要使用管理员权限的账户连接数据库,除非你有某些非它不可的理由要这么做。使用限制权限的账户更加安全,对黑客也是个限制。

  7.保守秘密:假设你的应用软件并不安全,采用加密或者随机生成密码和包括连接字符串在内的其他机密数据。

  8.不要泄露超出你权限的信息:黑客会从错误讯息处了解到大量关于数据库体系架构的信息,因此要保证他们显示的是最小数量的信息。使用"RemoteOnly" customErrors模式来显示本地计算机的详细错误讯息,这样外部的黑客就无法得到更多关于数据库的信息,从而避免超出控制的差错。

  9.不要忘记规则:定期更改数据库应用软件帐户的密码。这是常识,但是在实践中,这些密码经常数月或者数年没有更改过。

  10.购买质量更好的软件:在软件推出之前,要让代码编写者承担核查定制应用软件代码和修正安全漏洞的责任。SANS建议用户将协议中的样本合同术语用在软件供应商身上。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章